Eine BCM-Strategie verfolgt zwei Ziele: Zum einen sollen kritische Geschäftsprozesse im Falle einer Störung nicht beeinträchtigt werden, zum anderen soll im Fall einer Unterbrechung deren rechtzeitige Wiederaufnahme sichergestellt sein. Um beide Aufgaben erfüllen zu können, müssen Unternehmen eine gewisse Vorarbeit leisten. Ein erster Schritt ist die Identifizierung von kritischen Geschäftsprozessen: Welche Geräte besitzen die am geringsten tolerierbare Ausfallzeit? Welche Daten dürfen niemals verfälscht werden? Diese Fragen müssen in einer Risikoanalyse geklärt sein.

Kritische Geschäftsprozesse aufzuspüren, ist aber nur die halbe Miete. Denn ohne Unterstützung der Geschäftsleitung wird es schwer, ein BCM aufzubauen. Es braucht Zeit, Geld und eventuell auch neues Personal. Ein uneinsichtiges Management lässt sich vielleicht mit den Haftungsrisiken überzeugen, die es im Schadensfall eingeht. Sicherheitsbeauftragte, die weitere Argumente brauchen, können auch eine Business Impact Analyse (BIA) vornehmen. Dabei spielen sie potenzielle Schadensszenarien im Unternehmen durch, um die Bedeutung einer Notfallvorsorge zu unterstreichen. Die kritischen Prozesse, die Schäden verursachen könnten, sollten bereits im Rahmen der Risikoanalyse bekannt sein.

Plan-Do-Check-Act

Ohnehin ist eine BIA sinnvoll, um zielgerichtet Lösungen für ein BCM zu finden. Reicht das zur Überzeugung des Managements immer noch nicht, hilft vielleicht das Argument, dass eine (Re-)Zertifizierung nach ISO 27001 scheitern kann. Denn der Demingkreis (Plan-Do-Check-Act-Zyklus) im Sinne des kontinuierlichen Verbesserungsprozesses ist auch beim BCM ein Muss.

Ist das Management überzeugt, geht es an die Einrichtung eines BCM. Hilfestellungen dazu finden sich beispielsweise in den Dokumentation der ISO 2700+-Reihe. So führt der Anhang A14 der ISO 27001 Anforderungen für ein BCM auf. Konkreter ist die ISO 27002, in der der Leitfaden für ein ISMS (Information SecuritySecurity Management System) samt BCM deutlicher beschrieben ist. Kostenfreie Informationen zum Thema Notfallmanagement stellt auch das Bundesamt für Sicherheits- und Informationstechnik (BSI) bereit, unter anderem im Grundschutzkatalog 100-4. Alles zu Security auf CIO.de

"Derzeit sind zudem verschiedene Normen für BCM in der Entwicklungsphase", so Ernst Döbbeling, Professor für Security Engineering an der Hochschule Furtwangen und Vorsitzender des betreffenden DIN-Spiegelausschusses. Die Entwicklung spreche dafür, dass das Thema in Zukunft eine größere Relevanz erhalten werde. Zumal nicht mehr nur Großunternehmen, sondern zunehmend auch Mittelständler von der Sinnhaftigkeit des BCM überzeugt seien.

Bleibt die Frage: Wie sieht ein funktionierendes Business-Continuity-Management aus? Im Folgenden werden dafür einige Beispielszenarien aufgezeigt, die besonders der IT-Abteilung im Unternehmen als Checkliste dienen können - gemäß der Frage "Sind Sie auf den Ernstfall vorbereitet?"